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本 書 に つい て 
Qualys に つい て 


本 書 に つい て 


Qualys セキ ュ リ ティ 侵害 徴 師 (IOC) に ご 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 Qualys IOC は 、 
Qualys クラ ウド プラ ッ ト フ ォ ー ム の 機能 を 拡張 する も の で 、 轟 威 の 捜索 を 行い 、 疑 わし い ア クティ ビ テ ィ 
を 検出 し 、 ネ ットワーク 内 外 の デバ イス の 上 既知 お よび 未知 の マル ウェ ア の 存在 を 確認 し ます 。 


Qualys に つい て 


Qualys, Inc. (NASDAQ: QLYS) は 、 セ キュ リティ と コン プラ イア ンス を 目的 と する クラ ウド ソリ ュー ショ 
ン の パイ オニ ア で あり 、 リ ー デ ィング カン パニ ー で す 。Qualys の クラ ウド プラ ッ ト フ ォ ー ム お よび 統合 さ 
れ た アプ リケーション は 、 重 要 な セキ ュ リ ティ イン テリ ジェ ンス を オン デマ ンド で 提供 し 、 IT シス テム と 
Web アプ リケーション の 監査 、 コ ンプ ライ アン ス 、 お よび 保護 の 全 範 囲 を 自動 化す る こと に より 、 ビ ジネス 
に お ける セキ ュ リ ティ 業務 の 科 略 化 と コン プラ イア ンス の コス ト 削 減 を 支援 し ます 。 


1999 年 の 創立 以来 、Qualys は 、Accenture、BT、Cognizant Technology Solutions、Deutsche Telekom、 富 
士 通 、HCL、HP Enterprise、IBM、Infosys、 NTT、OptiV、SecureWorks、Tata Communications、Verizon、 
Wipro な どの マネ ー ジ ドサ ービス プロ バイ ダ や コン サル ティ ング 企業 と の 戦略 的 パー トナ ー シ ッ プ を 構築 
し て きま し た 。Qualys は 、CSA (Cloud Security Alliance) の 創立 メン バー で も あり ます 。 詳 細 情 報 は 、 
www.qualys.com を ご 覧 くだ さい 。 


ン 


Qualys サポ ー ト 

Qualys は 綿 鶴 な サポ ー ト を 提供 し ます 。 不 明 な 点 に は 、 オ ン ラ イン ドキ ュ メ ント 、 電 話 サ ポー ト 、 お よび 
E メー ル に よる 直接 サポ ー ト を 通じ て 、 可 能 な 限り 迅速 に お 答え し ます 。 弊社 は 24 時 間 年 中 無休 で サポ ー 
ト を 提供 し ます 。 サ ポー ト 情 報 に つい て は 、www.qualys.com/support/ を ご 覧 くだ さい 。 


は じ め に 
IOC に よる イン シ デ ン ト や イベ ント の 調査 を 開始 する 手順 


は じ め に 


Qualys IOC に は 、 エ ンド ポイ ント に 不審 な アデ アクティビティ が な いか 、 継 続 的 に 監視 する 働き が あり ます 。 
シス テム の アク ティ ビ テ ィ を 捕 所 し て 、 マ ルウ ェ ア に よる 危険 や 、 不 審 な 人 物 に よる 関与 の 兆候 を 見 つけ 、 
調査 、 応 答 で きる よう サポ ー ト し ます 。 そ れ で は 、 操 作 を 始め て み ま し ょ う 。 


IOC に よる イン シ デ ン ト や イベ ント の 調査 を 開始 する 手順 


ご 使用 の IT アセ ッ ト に 数 分 で 軽量 エー ジェ ント を イン ス トー ル し ます 。 稼働 中 の シス テム に も 、 動 的 ク 
ラウ ド 環 境 に も 、 モ バイ ル エ ンド ポイ ント に も イン スト ー ル で きま す 。Cloud Agent (CA) は Cloud Agent 
プラ ッ ト フ ォ ー ム に よっ て 一 元 管理 され 、 自 動 更新 し ます (再起 動 は 不要 で す )。 


CA 設定 プロ ファ イル で IOC を 有効 に し 、Qualys クラ ウド プラ ッ ト フ ォ ー ム に 送信 する IOC アー ティ ファ 
クト と その 送信 間隔 を 通知 し ます 。 

IOC に よる イン シ デ ン ト や イベ ント の 参照 お よび 調査 を 1 か 所 で 行い ます 。 すべ て の アセ ッ ト に わた っ て 検 
出さ れ た 全 イ ン シ デ ント が 表示 され ます 。 すべ て の イン シ デ ン ト と イベ ント を 瞬時 に 検索 する こと が で きま 
す 。 


これ ら の 手順 の 詳細 に つい て は 、 こ の 後 の 各 項 で 説明 し ます 。 


オン ライ ンチ ュー トリ アル を すぐ に 使い 始め る 場合 


ヘル プ メ ニュ ー か ら 「Get Started」 を 選択 する だ け で 、 順 に 手順 を 追っ て いく こと が で きま す 。 こ こ で 有益 
な 情報 へ の リン ク が 表示 され ます 。 


Indication of Compromise DASHBOARD HUNTING INCIDENTS ASSETS | 
Get Started 
Online Help 
Welcome to Qualys® Indication of Compromise 
Contact Support.. 
Built on our revolutionary Cloud Agent technology, Qualys IOC captures system activity to find indicators of compromise relating to malward 
indicators of activity relating to threat actors to support investigation and incident response. It's easy to get started! Account Info 
Resources 
Training 
Video Tutorials Community 


Get started with these quick steps 


Oo Install Cloud Agents (using CA) > 
Go to Cloud Agent (CA) to install and activate agents on the 
systems you want to monitor. When you're done, return to IOC and 
continue to the next step. 


Configure IOC Configuration Profile > 


Go to Cloud Agent (CA) and create or activate IOC in a 
Configuration Profile for those IOC agents 


Related Community Posts 


Tweets by qualys 


Take me to Qual 


View your IOC incidents and events > 


Check out the incidents detected by IOC and system events and 
details captured by the Cloud Agent 


は じ め に 
アセ ッ ト タ グ の 設定 (オプ ショ ン ) 


アセ ッ ト タ グ の 設定 (オプ ショ ン ) 
AssetView を 使用 し て アセ ッ ト タ グ を 設定 する と 、IOC アセ ッ ト を CA 設定 プロ ファ イル (IOC を 有効 化 
し た も の ) に 関連 付け る こと が で きま す 。 必 要 な CA 設定 プロ ファ イル に アセ ッ ト タ グ を 追加 する こと で 、 
各 ア セッ ト に 手動 で 設定 を 制 り 当て な く て も 済む よう に な り ま す 。 


タグ の 作成 方 法 
始め る に は まず 「AssetView」 に 移動 し ます 。 


AssetView マ 


アク ティ ブ モ ジュ ー ル (13) 


PCI Bost 


を 使用 し て お の アセ 
Cloud Agent 
| cae 
7 セキ ュ リ ティ を 更新 し ます 
Vulne 
いい 還 の 失 人 を お 和枝 和 の 提 
ます 
Continuous Monitoring 
回 肖 半 新た な セキ ュ リ ティ リス ク の 監視 ト を 投 定 し 
Threat Protection 
Add tnreat netigence feed to your existng AssetVie 
| 
Policy Compliance 
| PC SPP フー 
を 行い ます 
was| Web Application Scanning 
Web アプ リケーション の セキ ュ リ ティ リス ク を 特定 
て 管理 し ます 


> Mt A iia ain Etna 


「Assets」 つ 「 タ グ 」 と 進み 、「 新 規 タ グ 」 を クリ ッ ク し て 、 IOC アセ ッ ト に タグ を 追加 し 
品 設定 を 正確 に 反映 させ る た め に 1 つま た は 複数 の タグ を 使用 で きま す 。 


ます 。 ご 使用 の 製 


AssetView マン 


ダッ シュ ボー ド アセ ッ ト テンプ レー ト 


‘ご AssetView 


な こと 


区 seee ご ご か らら 開始 


回 
と モエ ヤン の レノ 司 Business Units 


クイ ッ ク フ ィ ル タ 


Cloud Agent 
回 未 使用 同 支 [cc Assets 
[J 範 団 内 

回 お 気に入り 

色 


タグ の 必要 性 を 感じ な い 方 は 、 タ グ を 追加 する 必要 は あり ませ ん 。 手動 で 個々 の アデ セット を プロ ファ イル に 
割り 当て る こと が で きま す 。 


Cloud Agent の イン スト ー ル 
Cloud Agent の イン スト ー ル (CA アプ リケーション を 使用 ) 


Cloud Agent の イン スト ー ル 


不審 かな アクティビティ の 監視 対象 と な る 各 ア セッ ト に 、IOC を アク ティ ブ 化 し た Cloud Agent を イン スト ー 
ル す る 必要 が あり ます 。 


Cloud Agent の イン スト ー ル (CA アプ リケーション を 使用 ) 
アプ リケーション ピッ カー か ら CA (Cloud Agent) を 選択 し ます 。 


Indication of Compromise 


ACTIVE MODULES: 


DVIINT Administration 


な VA 詳 AssetView 


Cloud Aqent 


MM Vuinerability Management 


Policy Compliance 


用 調 Web Application Firewall 


File Integrity Monitoring 
Indication of Compromise 


アデ アクティブ 化 キ ー を 作成 し ます 。「 ア クティ プ ブ 化 キー」 に 移動 し 、「 新 規 キ ー」 ボ タン を クリ ッ ク し ます 。 
タイ トル を 指定 し 、 IOC アプ リケーション を プロ ビジ ョ ニン グ し て 「 生 成 」 を クリ ッ ク し ます 。 


新規 アク ティ ブ 化 キー ト 表示 有効 | 無効 X 図 に ある よう に 、 ア カウ ント に あ 
る 他 の アプ リケーション に も 同じ 
キー を セッ ト ア デップ で きま す 。 


新規 アク ティ ブ 化 キー を 作成 

アク ティ ブ 化 キー は 、 エ ー ジ ェ ン ト を イン スト ー ル する た め に 使用 され ます 。 こ れ に より 、 エ ー ジ ェ ン ト を グル ー プ 化 で 
きる た め 、 ア カウ ント が 管理 し や すく な り ま す 。 デ フォ ルト で は 、 こ の キー に 制限 は あり ませ ん 。 い つ で も 任意 の 数 の エエ 
ー ジ ェ ン ト を 追加 で きま す 。 


タイ トル 例 : 個人 用 新規 タイ トル 


選択 | 作成 
が 選択 され て いま せ / 


これ ら の アプ リケーション の セッ ト ア ッ プ キー 
a aa 内 Re 
File Integrity Monitoring 


制限 を 設定 


Close Unlimited Key | Generate 
に ーー ラリ 


Cloud Agent の イン スト ー ル 
IOC 用 に エー ジェ ント を アク ティ ブ 化 


「Windows」 オ プシ ョ ン を 選択 し 、 


新規 アク ティ ブ 化 キー 8 人 
エー ジェ ント イン スト ー ラ を ダウ 
新規 アク ティ ブ 化 キー が 正常 に 生成 され まし た ン ロ ー ド し ます 。 


キー に 名 前 と タグ を つけ る と 、 こ の キー で イン スト ー ル し た エー ジェ ント を 見 つけ や すく な り ま す 。 こ の タグ が エー ジェ 


ント ホス ト と 関連 付け られ ます 。 この 手順 を 後 で 実行 する 場合 は 、 
アク ティ ブ 化 キー この 場合 は 、 い っ た ん ウィ ザー ド 
ET を 終了 し ます 。 準備 が で きた ら ア 


無制限 キー 
Total Count in use 0 クティ ブ 化 キー の リス ト に 戻り 、 
使用 し た い キ ー を 選択 し て 、「 ク 
イン スト ー ル 要件 イッ クア クシ ョ ン 」 メニ ュー か ら 
LC (加計 「 エ ー ジ ェ ン ト を イン スト ー ル 」 を 
Red Hat Enterprise Linux 選択 ls ま す 。 
CentOS 
内 Wa ーー | 
新規 アク ティ ブ 化 キー ここ: イン スト ー ル の 要件 を 確認 し 、「 ダ 


ウン ロー ド 」 を クリ ッ ク し ます 。 


各 ホ スト で 管理 者 特権 で の コマ ン 
ド プ ロン プ ト か ら イ ンス トー ラ を 
実行 する か 、 シ ステ ム 管 理 ツ ー ル 
また は Windows グル ー プ ポリ 
シー を 使用 し ます 。 


エー ジェ ント が クラ ウド プラ ッ ト 
フォ ー ム へ の 接続 を 開始 し ます 。 


エー ジェ ント を イン ス トー ル す る 準備 が で きま し た 。 


現在 の エー ジェ ント バー ジョ ン : 2.1.1.34 
Hash-SHA-256 : 2d5e531 aso ーー ーー 1387f5e8 


Windows イン スト ー ル 要件 


クリ ッ ク 対応 し て いる オペ レー ティ ング シス テム の バー ジョ ン の リス ト 。 
・ エー ジェ ント を イン スト ー ル する に は 、 ホ スト に 対す る ロー カル 管理 者 権限 が 必要 で す 。 
・ ホス ト が アク セス で きる 必要 が あり ます Qualys クラ ウド プラ ッ ト フ ォ ー ム また は HTTPS ポー ト 443 経由 の 
Qualys プラ イベ ー ト クラ ウド プラ ッ ト フ ォ ー ム 
・ プロ キシ を 使用 し て いま すか ? 詳細 
Windows エー ジェ ント を イン スト ー ル する 手順 
エー ジェ ント イン スト ー ラ を ダウ ン ロ ー ド 
ファ イル は 、 ロ ー カ ル シ ス テム で 定義 され た ダウ ン ロ ー ド 領域 に 保存 され ます 。 


監視 し た い ホ スト に QualysCloudAgentexe を コピ ー し て コマ ンド を 実行 する か 、 グ ルー プ ボ リ シ ー ま た は シス テム 
管理 ツー ル を 使用 し ます 。 クリ ッ ク こち ら トラ ブル シュ ー テ ィング 


イン スト ー ル 用 に この コマ ンド を コピ ー し て 貼り 付け ます 


QualysCloudAgent.exe Customerld={147 a 
ドコ) ActivationId={33f mes so mui etfs oh oataie- te of } 


1 
いい 
£& 


「 エ ー ジ ェ ン ト 」 タ ブ で エー ジェ ン 
ト を 選択 し 、「 ク イッ クア クシ ョ 
ン 」 メ ニュ ー か ら 「「FIM また は 
IOC 用 に アク ティ プ ブ 化 」 を 選択 し 
ます (「Actions」 メニ ュー を 使用 
し た 一 括 の アク ティ ブ 化 が サポ ー 
ト さ れ て いま す )。 


CloudAgent マン 


ダッ シュ ボー ド エー ジェ ント 管理 


SS エー ジェ ント 人 管理 ジ アク ティ ブ 化 キ ロフ ァイル 


保存 済み の 検索 < 


検 率 


| [MU エー ジェ ント の イン スト ー ル 


エー ジェ ント ホス ト 


qrhel66sd4.qag.rdlab.qualys.com a Inventory Scan Comp 
10.11.62.162 Mar 14, 2017 9:50:08 


「 | A acent71sd4.aaa.rdlah.aualvs.com Invenfory Scan Comp 


Cloud Agent の イン スト ー ル 
IOC の 有効 化 (設定 プロ ファ イル で 実行 ) 


IOC の 有効 化 (設定 プロ ファ イル で 実行 ) 


「 設 定 プ ロフ ァイル 」 タ ブ に 移動 し 、 新 し い プ ロフ ァイル を 作成 する か 、 既 存 の プロ ファ イル を 編集 し ます 。 
プロ ファ イル の 作成 ウィ ザー ド の 指示 に 従い ます 。「IOC」 タ ブ に 移動 し ます 。 


設定 プロ ファ イル 作成 ヒン ト 表 に 1 
(1) 「 こ の プロ ファ イル で IOC モジ ュー ル | 還 還 RR 
を 有効 化 」 を ON に 切り 替え ます 。 これ は 1 一 有情 報 ン この ブロ ファ イル で Ioc モジ ュー ル ED QO 
IOC が デー タ を 収集 する た め に 必要 で す 。 2 Zoo2228 - 生生 
(2) Qualys クラ ウド プラ ッ ト フ ォ ー ム に 送 j Se 回 > 邊 ⑨ ューse-s 
信 す る IOC アー ティ ファ クト を 設定 し ま 5 スキャ ン 同 隔 ア た 時 生 9 
す 。 図 の よう に デフ ォ ル ト 値 が 設定 済み に | sm ン 
な っ て いる の で 、 そ の まま で よけれ ば 飛ば | @ are es 
し て も か まい ませ ん 。 ミ ュー テッ クス 処理 、 ファ イル 置 グル ー プ 2 ca 
レジ スト リ 、 フ ァイル 位置 グル ー プ 1 ~ 3 ee se rm 
の 設定 が 可能 で す 。 
キャ ン セ ル 、 尽 る | 還 


以下 に 示す タイ プ の IOC イベ ント それ ぞ れ に つい て 、Qualys クラ ウド プラ ッ ト フ ォ ー ム 送信 する まで の 経 


周 時 間 を 表し ます 。 


Process Mutex 


動作 中 の プロ セス や ミュ ー テ ックス に 関連 する イベ ント 


Registry 


マル ウェ ア の 存在 を 示唆 する と 思わ れる レジ スト リ 位 置 に 
関連 する イベ ン 


File Locations Group 1 


ユー ザ フ ァ イル バス ( 例 :「C: \Users\*」) に 特有 の イベ ント 


File Locations Group 2 


シス テム ファ イル バス ( 例 : 「C: VProgram Files\」、 
「C: \Program Files (x86) \」、「C: \Windows\」 ) に 特 
の イベ ント 


File Locations Group 3 


現時 点 で は 不 使用 


実行 で きる こと 


IOC は デー タ の 収集 と シス テム の 分 析 を すぐ に 開始 し ます 。IOC アプ リ に 戻る と 、IOC に よっ て 検出 され 
た イン シ デ ン ト 、 お よび Cloud Agent に よっ て キャ プチ ャ され た シス テム イベ ント と 詳細 を チェ ッ ク ア ウト 


で きま す 。 


IOC に よる 調査 と 応答 
検索 方 法 


IOC に よる 調査 と 応答 
検索 方 法 


検索 お よび フィ ル タ 機 能 を 使用 する と 、 インシデント 、 イベ ント 、 お よび アセ モッ ト に 関す る すべ て の 情報 を 
Qualys 詳細 検索 に よっ て 1 か 所 で すばやく 検索 する こと が で きま す 。 イ ン シ デ ント と アセ ッ ト は 、 各 タブ 
で 同様 の 方 法 で 検索 で きま す 。 


イベ ント 、 イ ン シ デ ント 、 ア セッ ト 
の 動 的 リス ト の 表示 中 、「Search」 
ボッ クス に 注目 し て くだ さい 。 

ここ に 検索 クエ リ を 入力 し ます 。 


Indicator of Compromise * DASHBOARD HUNTING INCIDENTS ASSETS 


Hunting 


601 


Total Events 


入力 を 開始 する と 、 
asset.localIPv4、file.path な どの 
検索 可能 な アセ ッ ト プ ロ パ ティ 


Indicator of Compromise * DASHBOARD HUNTING INCIDENTS ASSETS 


Hunting 


| < …………・ ここ に 入力 し ます 。 (フィ ー ル ド ) が 表示 され ます 。 
601 assetlocallPy4 へ 下 に スク ロー ル し て いく と フィ ー 
NN PP ee ルド を すべ て 見 る こと が で きま 
file.path Example す 。 
file properties.certificate.hash RRR 


へ file_properties.certificate.issuer 
TYPE file.properties.certificate.signed ン 


Eee TF 関心 の ある も の を 選択 し て くだ さ 
| い 。 右 に ある 選択 し た フィ ー ル ド 
に 関す る Syntax ヘル プ を チェ ッ 
ク し て 、 ク エリ 作成 に 役立て ます 。 
ul ー "ツー | 検索 する 値 を 入力 し ます 。 例 に 示 
smcewcd 。 され て いる フィ ー ル ド の 場合 、 定 
ee 義 済 み の 値 の リス ト か ら 選 択 し ま 
お 。 


Enter キー を 押し ます 。 


Hunting 


X network.protocol: 


ヒン ト - 検 索 言語 と クエ リ 例 の 詳細 に つい て は 、『IOC オン ライ ン 
ヘル プ 』 を 参照 し て くだ さい 。 
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IOC に よる 調査 と 応答 
イベ ント の 捕捉 


Indicator of Compromise * DASHBOARD HUNTING INCIDENTS ASSETS 以上 で 完了 で す 。 ク エエ リ に 一 致す 
る も の が リス ト に 表示 され ます 。 
左側 の フィ ル タ で さら に 絞り 込む 
X network.protocol:TCP - の と が で き ます 。 


LR CE 

「Dashboards」 タ ブ で ダッ シュ 
ボー ドウ ィ ジ ェ ッ ト を 作成 し ま 
す 。 


Hunting 


TIME マ 


an hour ago ドコ 127.0.0.1 (DESKTOP-28FRI21) : 20121 
3:52:23 PM TCP CONNECTION - CLOSEWAIT 


an hourago 127.0.0.1 (DESKTOP-28FRI21) : 58396 
3:52:23 PM TCP CONNECTION - FIN-WAIF2 


イベ ント の 捕捉 


プロ パテ ィ を 手がかり と し て イベ ント を 検索 し (1) 、 あ る 期間 中 に 発生 し た イベ ント に ジャ ンプ し (2) 、 
イベ ント を タイ プ ブ 別 に 分 類 し (3)、 イ ベン ト や アセ ッ ト の 詳細 を 表示 し ます (4)。 


Indication of Compromise * DASHBOARD HUNTING INCIDENTS ASSETS sm © 


Hunting 


Search > 和夫 Last7Days " 三 


3.44K 
ーー 時 ニー キー ョ ーー 


6Sep 7Sep 10 Sep 1 Sep 12 Sep 


TIME v OBJECT の ASSET SCORE 
3 minutes ago 芝 127.0.0.1 (DESKTOP-28FRI21) : 60714 是 DESKTOP-28FRI21 へ 
4:05:55 PM TCP CONNECTION - FIN-WAIT-2 Quick Actions V 10.113.197.237 脅 
3 minutesago 。 <* 127.0.0.1 (DESKTOP-28FRI21) : 20121 Event Details DESKTOP-28FRI21 
4:05:55 PM TCP CONNECTION - CLOSE-WAIT 10.113.197.237 
Asset Details 
4 minutes ago レー コ 127.0.0.1 (DESKTOP-28FRI21) : 5354 題 DESKTOP-28FRI21 
4:05:40 PM TCP CONNECTION - ESTABLISHED 10.113.197.237 
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IOC に よる 調査 と 応答 
イン シ デ ン ト の 調査 


イン シ デ ン ト の 調査 
ホス ト 、 マ ルウ ェ ア 名 や その ファ ミリ 名 を 基準 と し て 、 イ ン シ デ ント を 調査 し ます 。 


Indication of Compromise * DASHBOARD HUNTING INCIDENTS ASSETS 人 0 ・ @ 


Incidents 


Last 7 Days 


Total Incidents 5 人 の の の 
- 人 Svew 


8Sep 9Sep 10Sep 11 Sep 12 Sep 13 Sep 
1-2of 2 
SCORE AGE マ NAME OPERATING SYSTEM # INDICATORS MALWARE FAMILIES 

19 hours ago WIN7PATCH69-85 | Microsoft Windows 7 Professiona.. 5 Java Runtime Environment... 

9:28:37 PM 10.115.75.233 Foxit PDF Reader 

MALWARE FAMILY +4 

= 21 hours ago WIN7PATCH69-85 トー Microsoft Windows 7 Professiona.。 6 Java Runtime Environment... 

va Rte Ee 7:41:22 PM 10.115.75.232 Foxit PDF Reader 


IOC で 監視 する アセ ッ ト の 調査 
選択 し た アセ ッ ト の 詳細 、 お よび これ に 関連 する イベ ント や イン シ デ ン ト に つい て 、 最新 の 情報 を 表示 し ま 
す 。 


Indication of Compromise * DASHBOARD HUNTING INCIDENTS ASSETS MY ©£ 


Total Assets 


NAME SCORE OPERATING SYSTEM CREATED ON LAST LOGGED IN USER TAGS 
QBC123 | Microsoft Windows 7 Professio.. Jul31,2017 Administrator I Business Units 
10.113.197.236 +1 


LAST LOGGED ON USER 
Administrator 


WIN7PATCH59-“ー 


回 上 edow Aug15,2017 。 Unknown TE 
2001:0:9d38: 曲 bd: Quick Actions ツマ 


WIn10 View Details 証 Microsoft Windows 10 Pro 10.0.- Aug 15,2017 Qualys | Cloud Agent 
10.113.197. 

View Events 
10.115.75. _ 恒 還 Microsoft Windows 7 Professio.。 Aug 27,2017 Administrator I Cloud Agent 
3 View Incidents | 


12 


IOC に よる 調査 と 応答 
検索 結果 の 絞り 込み 


検索 結果 の 絞り 込み 


fa 


検索 結果 を 取得 し た ら 、 そ の 結果 を 論理 グル ー プ に 分 類する こと が で きま す 。 左側 に ある オプ ショ ン 別 の グ 
ルー プ を 選択 し ます 。 グ ルー プ ご と の イベ ント また は アセ ッ ト の 数 が 表示 され ます 。 任意 の グル ー プ を ク 


リッ ク す る と 、 検 索 ク エリ が 更新 され 、 一 致す る イン シ デ ン ト ま た は イベ ント が 表示 され ます 。 


Indication of Compromise DASHBOARD HUNTING INCIDENTS ASSETS 


Hunting 


4.92K 
Total vents a [an 


170ct 180ct 190ct 200ct 21 0cl 
uraeeer= ここ の オプ ショ ン を 選択 し て 、 
RC 
3 検索 結果 を 絞り 込み ます 。 
TIME v OBJECT 
MUTEX 
a minute ago を 10.44.1.89 Wu | : 443 
NETWORK 12-32:44 PM TCP CONNECTION - ESTABLISHED 
¥ 2more 
a minute ago > 127.0.0.1 (DESKTOP-28FRI21) : 51664 
EVENT ACTION 12:32:44 PM TCP CONNECTION - ESTABLISHED 
CONNECTED a minute ago を 127.0.0.1 (DESKTOP-28FRI21) : 5354 
12-32-44 PM TCP CONNECTION - ESTABLISHED 
CREATED 
ェ ェ 23 minutes ago で 127.0.0.1 (DESKTOP-28FRI21) : 51663 
うに 12-11:05 PM TCP CONNECTION - FIN-WAIT2 


¥ 4more 
23 minutes ago を 127.0.0.1 (DESKTOP-28FRI21) : 20121 


SCORE 12:11:05 PM TCP CONNECTION - CLOSE-WAIT 
6 23 minutes ago トト 127.0.0.1 (DESKTOP-28FRI21) : 5354 
12:10:49 PM TCP CONNECTION - ESTABLISHED 
23 minutes ago レー 127.0.0.1 (DESKTOP-28FRI21) : 51663 
MALWARE FAMILY 12:10:49 PM TCP CONNECTION - FIN-WAIT2 
Foxit PDF Reader 23 minutes ago で 127.0.0.1 (DESKTOP-28FRI21) : 20121 
12:10-49 PM TCP CONNECTION - CLOSE-WAIT 
Internet Explorer 
- 23 minutes ago 其 10.44.1.89 (un | : 443 
MC 12:10:49 PM TCP CONNECTION - ESTABLISHED 
¥ 3 more 
23 minutes ago ビー 0.0.0.0 : 3389 
EXTENSION 12-10-49 PM UDP CONNECTION - LISTEN 


検索 結果 の ダウ ン ロ ー ド 


検索 結果 を ロー カル シス テム に ダウ ン ロ ー ド する と 、Qualys プラ ッ ト フ ォ ー ム 以外 で の イン シ デ 


ント 


朱 活 


は イベ ント の 管理 や 他 の ユー ザ と の 共有 が 容易 に な り ま す 。 結果 は 複数 の 形式 (CSV、 XML、 PDF、 DOC、 


PPT、HTML-ZIP、HTML-Web アー カイ ブ ) で エク スポ ー ト で きま す 。 


pet70ye ™ イン シ デ ン トリ スト の 上 に ある 「Download」 ア イコ ン を 
クリ ッ ク し 、 フ ォ ー マ ッ ト を 選択 し て 「Download」 を 


且 クリ ッ ク し ます 。 
画面 韻 画 画 二 園 量 剛 


1-50 of 4921 > © 
ここ を クリ ッ ク し ます 。…" テ 
ASSET SCORE 
DESKTOP-28FRI21 — 


10.113.197.237 
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動 的 ダッ シュ ボー ド の 設定 
定義 済み IOC テン プレ ー ト の 使用 


< ぺい に に っ 2 や F ゴ 
動 的 ダッ シュ ボー ド の 設定 
複数 の ダッ シュ ボー ド を 作成 し 、 そ れ ら を 切り 奪え る こと が で きま す 。 各 ダッ シュ ボー ド に は 、 対 象 と な る 
デー タ を 表示 する ウィ ジェ ッ ト の コレ クシ ョ ン が あり ます 。 
定義 済み IOC テン プレ ー ト の 使用 


新しい ダッ シュ ボー ド を 初め て 作成 する 場合 、 作 成 済み の IOC テン プレ ー ト を 使用 し て ダッ シュ ボー ド を 
作成 する オプ ショ ン が 表示 され ます 。 


Welcome 


Get started with preconfigured dashboard templates or create your own. 


Create a New Dashboard すま" の 0 
1 


New Dashboard 


Let's define your new dashboard 


Friendly name for the dashboard 


Dashboard1 


Make this dashboard my default. It should load every time I enter this module. 


Build from scratch ( EE |) Cancel "tx。 
OC TEMPLATE 
Qualys: APT+ US-Cert Dashboard 


Create Dashboard 


This dashboard lists APT and US-Cert security advisories 


OC TEMPLATE ゃ ー 


Qualys: Malware Family Detection O ェ ーー の 


Create Dashboard - oO E Oo 田 i 
This dashboard shows summary information on Qualys Malware | 
Family detection ます 


OC TEMPLATE に 
pay ーー 
Qualys: Suspicious Process Usage ・ーー ° 
Create Dashboard 
9 
This dashboard lists Malware-less ettacks using known good 
applications 


ダッ シュ ボー ド の 切り 替え 
ダッ シュ ボー ド は 簡単 に 切り 替え られ ます 。 ダ ッシュ ボー ド 名 の 横 に ある 下 矢印 を クリ ッ ク し て 、 目 的 の 
ダッ シュ ボー ド を 選択 し ます 。 
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動 的 ダッ シュ ボー ド の 設定 
ウィ ジェ ッ ト の 追加 


ウィ ジェ ッ ト の 追加 


ダッ シュ ボー ド で 「Add Widget」 アイ コン を クリ ッ ク し て 開始 し ます 。 


My Dashboard v 


ト 2 


Last30Days マ 


RUNNING EVENTS PE CHART 


EM CREATED: 454939 
NM DELETED: 4965 
玉 RUNNING: 4558 
EW CONNECTED: 3239 
大 TERMINATED:153 


TERMINATED 


ウィ ジェ ッ ト テ ンプ レー ト の 1 つ を 選択 し ます 。 選 択 で きる ウィ ジェ ッ ト テ ンプ レー ト は 数 多く あり ます 。 
また 、 独 自 の ウィ ジェ ッ ト を 作成 する こと も で きま す 。 そ れ ぞ れ の ウィ ジェ ッ ト は 異な っ て いま す 。 デ ー タ 
を 選択 し 、 ク エリ を 提供 し 、 レ イア ウト (カウ ント 数 や 表 、 棒 グラ フ 、 円 グラ フ な ど ) を 選択 する も の も あ 
り ま す 。 デ フォ ルト の ダッ シュ ボー ド に 作成 され ん た ウィ ジェ ッ ト に つい て は 、 ウ ィ ジ ェ ッ トメ ニュ ー か ら 
「Edit」 を 選択 し 、 正 確 な 設定 を 表示 させ ます 。 


サイ ズ 変 更 と レイ アウ ト 


ウィ ジェ ッ ト の 横 の サイ ズ を 変更 し た り 、 ウ ィ ジ ェ ッ ト を ドラ ッ グ アン ドド ロッ プ し て 、 レ イア ウト を 変更 
し た り で きま す 。 


My Dashboard v 


ト 】 Last30Days マ Y oe】 
Set as Default Dashboard ぺ ゅ 


| EditDashboard 


RUNNING EVENTS PIE CHART 


Create New Dashboard 
TERMINATED 


Create Template from this Dashboard 


coNNEcrEp 一 一 ] 
me ピー Delete Dashboard 
DELETED 


Refresh Dashboard 


ダッ シュ ボー ド 上 の 「Tools」 ア イコ ン を クリ ッ ク し て か ら 、「Edit Dashboard Layout」 を 選択 し ます 。 ウ ィ 
ジェ ッ ト の 幅 を 調整 し た り 、 ウ ィ ジ ェ ッ ト を 新しい 場所 に ドラ ッ グ し た り し ます 。「OK」 を クリ ッ ク し て 変 
更 内 容 を 保存 し ます 。 
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表示 の 更新 


を 選択 し ます 。 


PE CHART 


還 TERMINATED: 153 


動 的 ダッ シュ ボー ド の 設定 


表示 の 更新 


特定 の ウィ ジェ ッ ト に 関す る 最新 の デー タ を 表示 させ る に は 、 ウ ィ ジ ェ ッ トメ ニュ ー を 選択 し て 「Refresh」 


オプ ショ ン と し て 、「Tools」 メ ニュ ー か ら 「Refresh Dashboard」 オ プシ ョ ン を 選択 し 、1 クリ ッ ク す る だ け 


で ダッ シュ ボー ド 上 の 全 ウ ィ ジ ェ ッ ト を 更新 する こと が で きま す 。 


My Dashboard v 


ト 】 Last30Days マ 


RUNNING EVENTS 


PIE CHART 
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将 
Set as Default Dashboard め 
Edit Dashboard | 
Edit Dashboard Layout | 


Create New Dashboard 


Create Template from this Dashboard 


Delete Dashboard 


Refresh Dashboard 


